ในบทความนี้ เราจะดูการตั้งค่าเสริมแต่มีประโยชน์หลายประการ:
โดยใช้ชื่อเพิ่มเติมสำหรับผู้จัดการ ;การเชื่อมต่อการรับรองความถูกต้องผ่าน Active Directory ;ความหลากหลาย ;การจัดการพลังงาน ;แทนที่ใบรับรอง SSL ;การเก็บถาวร ;อินเทอร์เฟซการจัดการโฮสต์ (ห้องนักบิน) ;VLAN ;เฉพาะ HPE .
บทความนี้เป็นบทความต่อเนื่อง โปรดดู oVirt ใน 2 ชั่วโมงสำหรับการเริ่มต้น
บทความ
การแนะนำ การติดตั้งตัวจัดการ (ovirt-engine) และไฮเปอร์ไวเซอร์ (โฮสต์) - การตั้งค่าเพิ่มเติม - เราอยู่ที่นี่
การตั้งค่าผู้จัดการเพิ่มเติม
เพื่อความสะดวก เราจะติดตั้งแพ็คเกจเพิ่มเติม:
$ sudo yum install bash-completion vim
หากต้องการเปิดใช้งานคำสั่งให้เสร็จสิ้น การ bash-completion จำเป็นต้องสลับไปใช้ bash
การเพิ่มชื่อ DNS เพิ่มเติม
สิ่งนี้จำเป็นเมื่อคุณต้องการเชื่อมต่อกับผู้จัดการโดยใช้ชื่ออื่น (CNAME นามแฝง หรือเพียงชื่อสั้นที่ไม่มีส่วนต่อท้ายโดเมน) ด้วยเหตุผลด้านความปลอดภัย ผู้จัดการอนุญาตให้เชื่อมต่อโดยใช้รายชื่อที่อนุญาตเท่านั้น
สร้างไฟล์การกำหนดค่า:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
เนื้อหาต่อไปนี้:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"
และรีสตาร์ทผู้จัดการ:
$ sudo systemctl restart ovirt-engine
การตั้งค่าการรับรองความถูกต้องผ่าน AD
oVirt มีฐานผู้ใช้ในตัว แต่รองรับผู้ให้บริการ LDAP ภายนอกด้วย ซึ่งรวมถึง อ.
วิธีที่ง่ายที่สุดสำหรับการกำหนดค่าทั่วไปคือการเปิดวิซาร์ดและรีสตาร์ทตัวจัดการ:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine
ตัวอย่างผลงานของอาจารย์
$ sudo ovirt-engine-extension-aaa-ldap-setup
การใช้งาน LDAP ที่ใช้ได้:
...
3 - ไดเรกทอรีที่ใช้งานอยู่
...
โปรดเลือก: 3
กรุณากรอกชื่อ Active Directory Forest: example.com
โปรดเลือกโปรโตคอลที่จะใช้ (startTLS, ldaps, ธรรมดา) [เริ่มต้นTLS]:
โปรดเลือกวิธีการรับใบรับรอง CA ที่เข้ารหัส PEM (ไฟล์, URL, อินไลน์, ระบบ, ไม่ปลอดภัย): URL
URL:
ป้อนการค้นหา DN ผู้ใช้ (เช่น uid=username,dc=example,dc=com หรือเว้นว่างไว้หากไม่ระบุชื่อ): CN=oVirt-Engine,CN=ผู้ใช้,DC=ตัวอย่าง,DC=com
ป้อนรหัสผ่านผู้ใช้ค้นหา: *รหัสผ่าน*
[ ข้อมูล ] กำลังพยายามผูกโดยใช้ 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
คุณจะใช้การลงชื่อเพียงครั้งเดียวสำหรับเครื่องเสมือน (ใช่ ไม่ใช่) [ใช่]:
กรุณาระบุชื่อโปรไฟล์ที่ผู้ใช้จะมองเห็นได้ [ตัวอย่าง.com]:
โปรดระบุข้อมูลรับรองเพื่อทดสอบขั้นตอนการเข้าสู่ระบบ:
ป้อนชื่อผู้ใช้: ผู้ใช้บางคน
ป้อนรหัสผ่านผู้ใช้:
...
[INFO] ลำดับการเข้าสู่ระบบดำเนินการสำเร็จแล้ว
...
เลือกลำดับการทดสอบที่จะดำเนินการ (เสร็จสิ้น ยกเลิก เข้าสู่ระบบ ค้นหา) [เสร็จแล้ว]:
[INFO] Stage: การตั้งค่าธุรกรรม
...
สรุปการกำหนดค่า
...
การใช้วิซาร์ดเหมาะสำหรับกรณีส่วนใหญ่ สำหรับการกำหนดค่าที่ซับซ้อน การตั้งค่าจะดำเนินการด้วยตนเอง รายละเอียดเพิ่มเติมในเอกสาร oVirt
หลายทาง
ในสภาพแวดล้อมการใช้งานจริง ระบบจัดเก็บข้อมูลจะต้องเชื่อมต่อกับโฮสต์ผ่านเส้นทาง I/O อิสระหลายเส้นทาง ตามกฎแล้วใน CentOS (และด้วยเหตุนี้ oVirt) ไม่มีปัญหาในการรวบรวมหลายเส้นทางไปยังอุปกรณ์ (find_multipaths ใช่) มีการเขียนการตั้งค่าเพิ่มเติมสำหรับ FCoE ไว้
ใช้ 3PAR เป็นตัวอย่าง
และเอกสาร
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}
หลังจากนั้นได้รับคำสั่งให้รีสตาร์ท:
systemctl restart multipathd
ข้าว. 1 คือนโยบาย I/O หลายรายการที่เป็นค่าเริ่มต้น
ข้าว. 2 - นโยบาย I/O หลายรายการหลังจากใช้การตั้งค่า
การตั้งค่าการจัดการพลังงาน
ช่วยให้คุณสามารถทำการรีเซ็ตฮาร์ดแวร์ของเครื่องได้ เช่น หากเครื่องยนต์ไม่สามารถรับการตอบสนองจากโฮสต์ได้เป็นเวลานาน ดำเนินการผ่าน Fence Agent
คำนวณ -> โฮสต์ -> HOST — แก้ไข -> การจัดการพลังงาน จากนั้นเปิดใช้งาน “เปิดใช้งานการจัดการพลังงาน” และเพิ่มตัวแทน — “เพิ่มตัวแทนรั้ว” -> +.
เราระบุประเภท (เช่น สำหรับ iLO5 คุณต้องระบุ ilo4) ชื่อ/ที่อยู่ของอินเทอร์เฟซ ipmi รวมถึงชื่อผู้ใช้/รหัสผ่าน ขอแนะนำให้สร้างผู้ใช้แยกต่างหาก (เช่น oVirt-PM) และในกรณีของ iLO ให้สิทธิ์แก่เขา:
- เข้าสู่ระบบ
- รีโมทคอนโซล
- พลังงานเสมือนและการรีเซ็ต
- สื่อเสมือนจริง
- กำหนดการตั้งค่า iLO
- จัดการบัญชีผู้ใช้
อย่าถามว่าทำไมถึงเป็นเช่นนั้น มันถูกเลือกโดยเชิงประจักษ์ ตัวแทนฟันดาบคอนโซลต้องการสิทธิ์น้อยลง
เมื่อตั้งค่ารายการควบคุมการเข้าถึง คุณควรจำไว้ว่าเอเจนต์ไม่ได้ทำงานบนกลไก แต่ทำงานบนโฮสต์ "ใกล้เคียง" (ที่เรียกว่า Power Management Proxy) กล่าวคือ หากมีเพียงโหนดเดียวในคลัสเตอร์ การจัดการพลังงานจะทำงาน จะไม่.
การตั้งค่า SSL
คำแนะนำอย่างเป็นทางการฉบับเต็ม - ใน
ใบรับรองอาจมาจาก CA ของบริษัทของเราหรือจากหน่วยงานออกใบรับรองเชิงพาณิชย์ภายนอก
หมายเหตุสำคัญ: ใบรับรองมีไว้สำหรับเชื่อมต่อกับผู้จัดการและจะไม่ส่งผลกระทบต่อการสื่อสารระหว่างเครื่องยนต์และโหนด - ใบรับรองจะใช้ใบรับรองที่ลงนามด้วยตนเองที่ออกโดยเครื่องยนต์
คุณสมบัติผู้สมัคร:
- ใบรับรองของ CA ที่ออกในรูปแบบ PEM โดยมีห่วงโซ่ทั้งหมดจนถึงรูท CA (จาก CA รองที่ออกที่จุดเริ่มต้นไปจนถึงรูทที่ส่วนท้าย)
- ใบรับรองสำหรับ Apache ที่ออกโดย CA ที่ออก (เสริมด้วยใบรับรอง CA ทั้งหมด)
- รหัสส่วนตัวสำหรับ Apache โดยไม่ต้องใช้รหัสผ่าน
สมมติว่า CA ที่ออกของเรากำลังเรียกใช้ CentOS ซึ่งเรียกว่า subca.example.com และคำขอ คีย์ และใบรับรองอยู่ในไดเร็กทอรี /etc/pki/tls/
เราทำการสำรองข้อมูลและสร้างไดเร็กทอรีชั่วคราว:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs
ดาวน์โหลดใบรับรอง ดำเนินการจากเวิร์กสเตชันของคุณ หรือถ่ายโอนด้วยวิธีอื่นที่สะดวก:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs
ดังนั้นคุณควรเห็นไฟล์ทั้งหมด 3 ไฟล์:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.key
การติดตั้งใบรับรอง
คัดลอกไฟล์และอัปเดตรายการที่เชื่อถือได้:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service
เพิ่ม/อัพเดตไฟล์คอนฟิกูเรชัน:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf
# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer
ถัดไป ให้รีสตาร์ทบริการที่ได้รับผลกระทบทั้งหมด:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service
พร้อม! ถึงเวลาเชื่อมต่อกับผู้จัดการและตรวจสอบว่าการเชื่อมต่อได้รับการป้องกันด้วยใบรับรอง SSL ที่ลงนามแล้ว
การเก็บถาวร
เราจะอยู่ที่ไหนถ้าไม่มีเธอ? ในส่วนนี้เราจะพูดถึงการเก็บถาวรของผู้จัดการ การเก็บถาวร VM เป็นปัญหาแยกต่างหาก เราจะทำสำเนาไฟล์เก็บถาวรวันละครั้งและจัดเก็บผ่าน NFS เช่น ในระบบเดียวกับที่เราวางอิมเมจ ISO - mynfs1.example.com:/exports/ovirt-backup ไม่แนะนำให้จัดเก็บไฟล์เก็บถาวรไว้ในเครื่องเดียวกับที่เครื่องยนต์กำลังทำงานอยู่
ติดตั้งและเปิดใช้งาน autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs
มาสร้างสคริปต์กัน:
$ sudo vim /etc/cron.daily/make.oVirt.backup.sh
เนื้อหาต่อไปนี้:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;
ทำให้ไฟล์ปฏิบัติการได้:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh
ตอนนี้ทุกคืนเราจะได้รับไฟล์การตั้งค่าผู้จัดการ
อินเทอร์เฟซการจัดการโฮสต์
ข้าว. 3 – ลักษณะของแผง
การติดตั้งนั้นง่ายมาก คุณต้องมีแพ็คเกจห้องนักบินและปลั๊กอินแดชบอร์ด Cockpit-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -y
การเปิดใช้งานห้องนักบิน:
$ sudo systemctl enable --now cockpit.socket
การตั้งค่าไฟร์วอลล์:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent
ตอนนี้คุณสามารถเชื่อมต่อกับโฮสต์ได้แล้ว: https://[Host IP or FQDN]:9090
VLAN
คุณควรอ่านเพิ่มเติมเกี่ยวกับเครือข่ายใน
หากต้องการเชื่อมต่อเครือข่ายย่อยอื่น ๆ จะต้องอธิบายไว้ในการกำหนดค่าก่อน: เครือข่าย -> เครือข่าย -> ใหม่ มีเพียงชื่อเท่านั้นที่เป็นฟิลด์บังคับ ช่องทำเครื่องหมายเครือข่าย VM ซึ่งอนุญาตให้เครื่องใช้เครือข่ายนี้เปิดใช้งานอยู่ แต่ต้องเปิดใช้งานการเชื่อมต่อแท็ก เปิดใช้งานการแท็ก VLANป้อนหมายเลข VLAN แล้วคลิกตกลง
ตอนนี้คุณต้องไปที่โฮสต์คอมพิวเตอร์ -> โฮสต์ -> kvmNN -> อินเทอร์เฟซเครือข่าย -> ตั้งค่าเครือข่ายโฮสต์ ลากเครือข่ายที่เพิ่มจากด้านขวาของเครือข่ายลอจิคัลที่ไม่ได้กำหนดไปทางซ้ายไปยังเครือข่ายลอจิคัลที่กำหนด:
ข้าว. 4 - ก่อนเพิ่มเครือข่าย
ข้าว. 5 - หลังจากเพิ่มเครือข่าย
หากต้องการเชื่อมต่อเครือข่ายหลายเครือข่ายเข้ากับโฮสต์จำนวนมาก จะสะดวกในการกำหนดป้ายกำกับให้กับเครือข่ายเหล่านั้นเมื่อสร้างเครือข่าย และเพิ่มเครือข่ายด้วยป้ายกำกับ
หลังจากสร้างเครือข่ายแล้ว โฮสต์จะเข้าสู่สถานะไม่ทำงานจนกว่าเครือข่ายจะถูกเพิ่มไปยังโหนดทั้งหมดในคลัสเตอร์ ลักษณะการทำงานนี้มีสาเหตุมาจากการตั้งค่าสถานะ Require All บนแท็บคลัสเตอร์เมื่อสร้างเครือข่ายใหม่ ในกรณีที่ไม่จำเป็นต้องใช้เครือข่ายในทุกโหนดของคลัสเตอร์ คุณสามารถปิดใช้งานแฟล็กนี้ได้ จากนั้นเมื่อเพิ่มเครือข่ายไปยังโฮสต์แล้ว จะอยู่ทางด้านขวาในส่วน Non Required และคุณสามารถเลือกว่าจะเชื่อมต่อหรือไม่ ไปยังโฮสต์เฉพาะ
ข้าว. 6—เลือกแอตทริบิวต์ข้อกำหนดเครือข่าย
เฉพาะ HPE
ผู้ผลิตเกือบทั้งหมดมีเครื่องมือที่ช่วยปรับปรุงการใช้งานผลิตภัณฑ์ของตน การใช้ HPE เป็นตัวอย่าง AMS (Agentless Management Service, amsd สำหรับ iLO5, hp-ams สำหรับ iLO4) และ SSA (Smart Storage Administrator ที่ทำงานกับตัวควบคุมดิสก์) ฯลฯ มีประโยชน์
การเชื่อมต่อที่เก็บ HPE
เรานำเข้าคีย์และเชื่อมต่อที่เก็บ HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
เนื้อหาต่อไปนี้:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
ดูเนื้อหาที่เก็บและข้อมูลแพ็กเกจ (สำหรับการอ้างอิง):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd
การติดตั้งและเปิดตัว:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsd
ตัวอย่างของยูทิลิตี้สำหรับการทำงานกับดิสก์คอนโทรลเลอร์
นั่นคือทั้งหมดที่สำหรับตอนนี้. ในบทความต่อไปนี้ ฉันวางแผนที่จะพูดคุยเกี่ยวกับการทำงานพื้นฐานและแอปพลิเคชันบางอย่าง ตัวอย่างเช่น วิธีสร้าง VDI ใน oVirt
ที่มา: will.com